PCI 资料安全标准

2005年,维萨(Visa)、万事达卡(Mastercard)、美国运通、Discover Financial Services Company LLC以及JCB等五家国际组织共同制定了支付卡行业(Payment Card Industry, PCI)数据安全标准(DeSS, Data Security Standard)。在这一产业生态中,各参与方均需采取措施实施合规工作,无论大小企业都应重视合规建设,特别是商家与服务提供者必须严格遵守该行业标准的相关规定。每家发卡机构(VISA等)各自负责维护自身品牌的合规管理体系,如何向相关方展示其合规性是一个重要议题,不同发卡机构对于合规性的验证有着明确且具体的准则与要求。

该标准一共保护12条规则，如下所示：

PCI DDS条目和规则构建和维护安全网络

规则1：安装并维护防火墙配置以保护持卡人数据。

规则2：不要使用供货商提供的默认的系统密码以及其他安全参量。

保护持卡人数据

规则3：保护所储存的持卡人的数据。

规则4：在公开的、公共的网络上传输持卡人数据时采用加密术。

运用易损性管理程序

规则5：使用并定期升级反病毒软件。

规则6：开发并运用安全系统和应用软件。

严格执行访问控制措施

规则7：在交易所需知道数据的情况下也要严格控制访问持卡人数据。

规则8：对每一个访问计算机的人分配一个唯一的ID。

规则9：对持卡人数据的物理进入进行严格控制。

例行监控和检测网络

规则10：跟踪和监控对网络资源和持卡人数据进行的所有访问。

规则11：例行检测安全系统和程序。坚持执行信息安全政策。

规则12：坚持执行有关信息安全的政策。

根据Forrester Research于2007年7月在美国与欧洲开展的一项关于PCI合规性的研究报告[3]表明，在统计的各类机构中，相当多的机构存在过度存储非敏感数据的问题。具体而言，在接受调查的机构中约有81%保存了信用卡号信息、约73%记录了信用卡过期时间、约71%保存了验证码（Verification codes），而超过50%的机构也存储了信用卡磁条（magnetic stripe）上的用户数据。在此基础上进一步分析发现，在处理大批量交易的金融机构中暴露出了严重的管理失误现象。这些失误尤其在金融服务、医疗保健、保险以及高等教育等行业表现得尤为明显。通过深入调查发现，并非所有机构都具备存储信用卡数据的能力或意愿；他们的行为动机各有不同：一部分是为了利用这些信息进行防范欺诈分析；另一部分是为了实现用户身份识别；还有一部分则致力于开展业务智能分析；此外还有少数是为了进行退款操作；还有一些是为了与其他合作伙伴共享业务信息等目的而存储卡片数据。研究结果还表明，在当前阶段相当数量的金融机构仍需对信息存储系统进行优化升级以满足PCI信息安全标准中的相关要求

在国内外方面上，在中国境内相关的网络支付监管法规尚未推出相关法规，在银行业界尚未制定统一的标准，在各个机构之间也存在较大的操作差异性，在行业内尚未形成统一的操作规范体系；目前仅有一些关于网络支付业务的具体操作流程处于尝试阶段。每一次与网络安全相关的立法通过都预示着新的商业机遇

有一本关于PCI implement的书，可以在百度上搜到。